Leveranciersdag KINGVerkenningen IBD

2

Even voorstellen• Peter van Dijk• Gerard Heimans

3

Context• IBD in drie jaar gegroeid naar een ‘sterk merk’• In eerste fase de gericht op ‘gemeenten’ en

‘ICT samenwerkingsverbanden’• Naast gemeentelijke organisaties zijn

bestuurders ook verantwoordelijk voor vormen ‘verlengd lokaal bestuur’

• Ook daar zijn risico’s rond IT voorziening

De verkenningen Resultaten

4

5

Twee verkenningen• Verbreden

– de uitbreiding van de dienstverlening aan gemeenschappelijke regelingen.

• Verrijken– de mogelijkheid om gemeenten meer

gereedschappen te geven in de keuze van een leverancier. In jaarplan ook benoemd als ‘certificeren’

6

Verbreding en ‘Verrijken’

Verbreding aantal doelgroepen

Verr

ijken

bes

taan

de

dien

sten

IBD

Combinatie verbreding

en verrijken

7

Verrijken van dienstverlening• Vraag achter de vraag?• Wat willen gemeenten? Waarom?• Bestaand Aanbod van KING/IBD• Leveranciers van:

– ‘Gemma-producten’– Beveiligingsproducten– Consultants– Opleiders– Auditors– Pentesters

Verrijkingsportfolio

VerbeteringTerug

melding

Portal tbv Actualiteit

Foto (3 en 4)

OndersteuningCurriculum

Adviseurs pool

IBD addendauitbreiden

Aspect Uitbreiding

SWC?

Reguliere bedrijfsvoering Productontwikkeling

Diversiteit OP

producten

‘Kieskeurig’

Account management

9

Aspectuitbreiding SWC (onderhanden)• Uitbreiden met standaarden uit ‘Pas-toe-of-

leg-uit’ lijst. Denk aan;– TLS– DNSSEC– etc

• Mogelijk uitbreiden met producten informatiebeveiliging? (in discussie)– GRC/ ISMS ondersteunende tooling– IAM tooling– Anti-virus– Firewalls– 2 factor authenticatie oplossingen

Kent u onze

factsheets al?

10

IBD Producten

Verrijkingsportfolio

VerbeteringTerug

melding

Portal tbv Actualiteit

Foto (3 en 4)

OndersteuningCurriculum

Adviseurs pool

IBD addendauitbreiden

Aspect Uitbreiding

SWC?

Reguliere bedrijfsvoering Productontwikkeling

Diversiteit OP

producten

‘Kieskeurig’

Account management

Het IBD-Addendum

12

13

Kwetsbaarheden/detectie

14

Het IBD Addendum• Legt afspraken vast tussen Leverancier en de IBD om de

informatieveiligheid van gemeenten te bevorderen• Leverancier spant zich in om de geleverde producten en

diensten te laten aansluiten op de inspanningen van gemeenten bij het implementeren van de BIG en het bevorderen van hun informatieveiligheid in het algemeen.

• Leverancier blijft onverminderd verantwoordelijk voor de veiligheid van de producten en diensten die zij aan gemeenten levert

• Gemeenten zijn en blijven verantwoordelijk voor het gebruik van de producten en diensten.

• Is onderdeel van de samenwerkingsovereenkomst tussen KING,gebruikersverenigingen/samenwerkingsverbanden en leveranciers.

15

In de praktijk…

16

Wat levert het u op?• Kwetsbaarheidsdienst • Detectiedienst• Melding van Incidenten• Gebruik van BIG.

21

Wat verwachten we van U• Leverancier wijst een vertrouwde contactpersoon aan

binnen haar organisatie.• Als u kennis neemt van kwetsbaarheden zal

Leverancier deze informatie proactief delen met IBD• Indien Leverancier kennis neemt van netwerkverkeer

waarbij de Informatieveiligheid van gemeenten mogelijk in het geding is zal Leverancier deze informatie proactief delen met IBD.

• Leverancier spant zich in om haar producten en diensten zodanig te leveren dat gemeenten niet belemmerd worden bij het toepassen van de BIG.

• Leverancier baseert zich minimaal op de BIG bij het leveren van adviesdiensten aan gemeenten op het gebied van informatiebeveiliging.

22

Waarom niet aansluiten?1. Onze software bevat geen fouten of kwetsbaarheden

2. De kwetsbaarheden in onze eigen infrastructuur hebben we goed in beeld

3. Ons bedrijf weet precies hoe je crisiscommunicatie moet aanpakken

4. Het is niet erg dat ons bedrijf negatief in het nieuws komt  i.v.m. een datalek

5. Onze contactpersonen bij gemeenten weten precies hoe ze met een datalek moeten omgaan

23

Hoe kan ik aansluiten?• U maakt uw belangstelling voor aansluiting

kenbaar bij onze helpdesk• Wij arrangeren een kennismakingsgesprek

– Doorspreken addendum– Aanwijzen vertrouwde contactpersoon

informatiebeveiliging (VCIB)– Maken aansluitafspraken

24

En wat gebeurt er dan?• IBD neemt VCIB op in mailinglist• U levert uw IP range• IBD activeert detectiemeldingen• U levert spec’s van uw software en

ondersteunende producten aan IBD• IBD activeert kwetsbaarheidsmeldingen van

uw software• De ondertekening van addendum wordt

aangetekend in de softwarecatalogus en is zichtbaar voor gemeenten.